aligent/owasp-dependency-check-pipe
aligent
用于在Bitbucket Pipelines中执行OWASP依赖检查的Docker镜像,基于jeremylong/DependencyCheck,可扫描项目依赖项中的安全漏洞并根据CVSS评分控制构建流程。
下载次数: 0状态:社区镜像维护者:aligent仓库类型:镜像最近更新:15 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
OWASP Dependency Check Pipe 镜像文档
概述和主要用途
OWASP Dependency Check Pipe 是一个Docker镜像,用于在Bitbucket Pipelines中集成OWASP依赖检查功能。该镜像基于https://github.com/jeremylong/DependencyCheck%E9%A1%B9%E7%9B%AE%EF%BC%8C%E8%83%BD%E5%A4%9F%E6%89%AB%E6%8F%8F%E9%A1%B9%E7%9B%AE%E4%BE%9D%E8%B5%96%E9%A1%B9%E4%B8%AD%E7%9A%84%E5%B7%B2%E7%9F%A5%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%EF%BC%8C%E5%B9%B6%E5%8F%AF%E6%A0%B9%E6%8D%AECVSS%EF%BC%88%E9%80%9A%E7%94%A8%E6%BC%8F%E6%B4%9E%E8%AF%84%E5%88%86%E7%B3%BB%E7%BB%9F%EF%BC%89%E8%AF%84%E5%88%86%E6%8E%A7%E5%88%B6%E6%9E%84%E5%BB%BA%E6%B5%81%E7%A8%8B%E7%9A%84%E6%88%90%E5%8A%9F%E6%88%96%E5%A4%B1%E8%B4%A5%EF%BC%8C%E5%B8%AE%E5%8A%A9%E5%BC%80%E5%8F%91%E5%9B%A2%E9%98%9F%E5%9C%A8CI/CD%E6%B5%81%E7%A8%8B%E4%B8%AD%E5%8F%8A%E6%97%A9%E5%8F%91%E7%8E%B0%E5%B9%B6%E5%A4%84%E7%90%86%E4%BE%9D%E8%B5%96%E9%A1%B9%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98%E3%80%82
核心功能和特性
- Bitbucket Pipelines集成:直接作为管道步骤集成到Bitbucket CI/CD流程中
- 自定义扫描路径:支持指定相对路径进行依赖扫描,默认扫描仓库根目录
- CVSS评分控制:可设置CVSS失败级别,当检测到等于或高于该级别的漏洞时使构建失败
- 漏洞抑制机制:支持通过抑制文件排除特定漏洞的检测结果
- 灵活配置选项:支持禁用OSS Index分析、配置NVD API密钥、自定义输出路径等
- 数据库更新控制:可选择是否更新漏洞数据库
- 额外参数支持:允许传递额外参数给DependencyCheck工具
使用场景和适用范围
该镜像适用于使用Bitbucket进行代码管理并采用CI/CD流程的开发团队,特别适合以下场景:
- 需要在持续集成过程中自动化检查依赖项安全漏洞的项目
- 使用PHP(基于composer.lock)、Node.js(基于package-lock.json或yarn.lock)等包管理器的项目
- 希望根据漏洞严重程度(CVSS评分)控制构建流程的团队
- 需要自定义漏洞检测规则(如使用抑制文件)的安全合规需求
注意:对于npm/yarn项目,应将包含
package-lock.json或yarn.lock文件以及node_modules目录的路径指定为SCAN_PATH。
使用方法和配置说明
YAML定义
在bitbucket-pipelines.yml文件中添加以下步骤配置:
yaml- step: name: "代码标准检查" script: - pipe: docker://aligent/owasp-dependency-check-pipe variables: SCAN_PATH: "./composer.lock" CVSS_FAIL_LEVEL: "1"
配置变量
| 变量名 | 用途说明 |
|---|---|
| SCAN_PATH | 要扫描的相对路径。默认值:仓库根目录。 |
| CVSS_FAIL_LEVEL | (可选)设置0-10之间的评分,当检测到CVSS评分等于或高于该值的漏洞时,Dependency-Check将返回非零退出码(使构建失败)。 |
| SUPPRESSION_FILE_PATH | (可选)https://jeremylong.github.io/DependencyCheck/general/suppression.html%E7%9A%84%E8%B7%AF%E5%BE%84%E3%80%82 |
| DISABLE_OSSINDEX | (可选)禁用OSS Index分析。布尔值。默认值:true |
| OSSINDEX_USERNAME | (可选)提供OSS Index用户名。当DISABLE_OSSINDEX设为true时此参数无效。 |
| OSSINDEX_PASSWORD | (可选)提供OSS Index密码。当DISABLE_OSSINDEX设为true时此参数无效。 |
| NVD_API_KEY | (可选)提供NVD(国家漏洞数据库)的API密钥。 |
| OUTPUT_PATH | (可选)测试结果输出路径。 |
| UPDATE_DB | (可选)传递true以更新漏洞数据库。默认值:false |
| EXTRA_ARGS | (可选)传递给dependency-check的额外参数,例如--disableRetireJS |
开发与本地测试
本地运行命令
可使用以下命令在本地调用该管道,需确保项目根目录下有可写的test-results目录:
bashdocker run --rm -e OUTPUT_PATH="/tmp/test-results/" -e CVSS_FAIL_LEVEL=1 -e SCAN_PATH=./composer.lock -v $PWD:/build --workdir=/build aligent/owasp-dependency-check-pipe
自动构建
提交到main分支的代码将触发自动构建流程,生成新的Docker镜像。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 owasp-dependency-check-pipe 镜像标签
docker pull docker.xuanyuan.run/aligent/owasp-dependency-check-pipe:<标签>
DockerHub 原生拉取命令
docker pull aligent/owasp-dependency-check-pipe:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"